Säkerhetsbulletin från Debian

xfs -- Symbolisk länk kan användas för att ändra filrättigheter

Rapporterat den:
1999-03-31
Berörda paket:
xfs
Sårbara:
Nej
Referenser i säkerhetsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 359.
I Mitres CVE-förteckning: CVE-1999-0434.
Ytterligare information:
Vissa implementationer av xfs sätter felaktigt rättigheterna på /tmp/.font-unix även om det är en symbolisk länk till en annan fil. Debian 2.1 (slink) är inte sårbart för detta problem.

Sidan ISS Security – X-Force-bulletiner – överbelastning i xfree86 via symbolisk länk i xfs innehåller en bra sammanfattning av xfs-sårbarheten.

Sårbarheten kan användas för att byta behörighet på filen /etc/shadow, vilket visas i Neophasis-arkivet (BugTraq): ”fel i xfs”. Se tråden.